OVH Community, votre nouvel espace communautaire.

Bloquer sites/protocoles sur un routeur


arn0
21/12/2015, 16h02
Bonjour,

je reviens vers vous car j'ai pas trouvé de solutions pour bloquer le protocole P2P est l'accès à certains sites...

Dans le firewall du routeur, si je met cela par exemple sa fonctionne ?

# iptables -A INPUT -s google.fr -j DROP
# iptables -A OUTPUT -s google.fr -j DROP

Et pour bloquer les ports/protocole P2P je peux pas faire le même principes de règles ?

sd82979
30/09/2015, 14h27
seule solution si on veut tout filtrer sans moyen de contournement possible:
bloquer TOUT en sortie (plus d'accès au net en direct donc)
monter un proxy qui sera le seul a pouvoir accéder au net

puis mettre les règles de filtrage (regex sur URL, nom de domaine, protocole...)
par contre, ça bloque vraiment tout.
les protocoles exotiques non proxyfiables ne passeront pas.

Nowwhat
29/09/2015, 18h32
J'utilise moi même un routeur (au boulot) basé sur pfSense.

Il existe des solutions pour bloquer tout requêtes 'DNS' vers le net - le client est donc obligé d'utiliser 'mon' routeur, qui expose un service DNS (forwarding, au carrément 'bind') qui va résoudre les requêtes venant de ce clients.
Il est alors simple de 'bloquer' certains sites par nom de domaine.

Mais, le client qui attaque par IP directement - c'est difficile de lui bloquer.

A lire : https://forum.pfsense.org/index.php?topic=96728.msg538478#msg538478

https://doc.pfsense.org/index.php/Creating_a_DNS_Black_Hole_for_Captive_Portal_Clien ts

Facebook => http://bgp.he.net/search?search[search]=facebook&commit=Search

arn0
29/09/2015, 16h11
Merci pour ta réponse ! En gros ce que je veux faire c'est que l'utilisateur qui est connectait sur le réseau de la borne, lorsqu'il tape par exemple "facebook" dans google que sa bloque par mot clé par exemple. Et également bloqué par exemple le ndd facebook.com. Si je bloque "facebook.com" sa bloque également l'ip derrière le ndd logiquement non ? Et est ce possible avec iptables ?

Du coté ddwrt ils ont un module "Restriction d'accès" mais ce mode est bugé et ne fonctionne pas...

Nowwhat
29/09/2015, 16h00
Citation Envoyé par arn0
...... (facebook, youtube etc.) ainsi que le P2P.
Aha. C'est cette question qui revient chaque fois.

D'abord, pose-toi la question: combien d'IP's 'ont' facebook.com ? => plusieurs milliers - et ça change tout le temps.
Youtube : idem - mais en mieux.
P2P: là, il ne s'agit même pas d'un protocole, ni nom de domaine, mais d'un concept.iptables ne filtre pas un 'concept', au mieux, tu pourait freiner lé débit

Avec une filtrage coté 'DNS', il est vraie que tu pourrais avoir des résultats pour bloquer (== pas résoudre) des requêtes *.facebook.com - idem pour *.youtube.*
Il te faut bien sur un peu plus qu'un Mini Linux dans une "boite à sardines".
Renseigne toi auprès, p.e. dd-wrt - la question est posé la-bas aussi très souvent - avec autant de réponses.

Bloquer le P2P (souvent des connections qui ressemble plus à des streams VPN qu' autre), là, il te faut carrément visser très haut, soit utiliser des sites qui publions très régulièrement des listes avec des IP's qui sont suspecté de "télécharger" ou "offrir la contenu à charger".
Bloquer le P2P est un sport des professionnels Les portes source et destination sont aléatoires, le DPI n'aide plus (ça ressemble à sucer le /dev/random au mieux).

arn0
29/09/2015, 14h34
Bonjour,

Étant dans discussion générale et comme il y a des pro-linux je me permet de vous demander votre aide.

Voila j'ai quelques utilisateurs qui accèdent en Wifi sur un routeur qui utilise un noyau Linux. ce que j'aimerais faire c'est limiter l'accès un certains sites/protocoles et pour cela il faut que j'utilise iptables en ligne de commande dans le firewall.

Les utilisateurs ont des IP LAN de type : 192.168.172.0/24 et j'aimerais bloquer certains sites (facebook, youtube etc.) ainsi que le P2P.

Savez-vous les lignes de commandes à mettre svp ?